RODO 17: kontrola organu i dalsze działania w praktyce prawnej
Rozporządzenie o Ochronie Danych Osobowych (RODO) wprowadziło szereg uprawnień dla osób, których dane dotyczą, wśród których jedno z najbardziej medialnych i jednocześnie problematycznych w codziennej praktyce stanowi tzw. prawo do bycia zapomnianym, uregulowane w art. 17 RODO. Choć idea usunięcia danych na żądanie użytkownika wydaje się prosta, jej realizacja rodzi liczne konflikty na linii osoba fizyczna – administrator danych. Sytuację komplikuje fakt, że uprawnienie to nie ma charakteru absolutnego. Administratorzy często stają przed dylematem: usunąć dane i narazić się na zarzut braku realizacji innych obowiązków prawnych (np. podatkowych), czy też odmówić usunięcia i narazić się na skargę do Urzędu Ochrony Danych Osobowych (UODO) oraz dotkliwe kary finansowe.
W niniejszej analizie szczegółowo przyjrzymy się mechanizmom działania art. 17 RODO, procedurze obsługi wniosków, a także specyfice kontroli organu nadzorczego w tym obszarze. Przedstawimy praktyczne wskazówki, które pozwolą zminimalizować ryzyko prawne i skutecznie obronić stanowisko administratora przed organem nadzorczym.
Istota i zakres stosowania art. 17 RODO
Artykuł 17 ust. 1 RODO nakłada na administratora obowiązek niezwłocznego usunięcia danych osobowych, jeżeli zachodzi jedna z określonych w tym przepisie przesłanek. Prawo to ma na celu przywrócenie osobie fizycznej kontroli nad jej sferą prywatności w sytuacji, gdy dalsze przetwarzanie jej danych staje się bezprzedmiotowe, bezprawne lub niepożądane.
Warto podkreślić, że "niezwłoczność" działania nie oznacza natychmiastowości pozbawionej refleksji prawnej. Administrator ma obowiązek każdorazowo zbadać, czy wniosek jest zasadny i czy nie zachodzą przesłanki wyłączające możliwość usunięcia danych. Proces ten wymaga precyzyjnej weryfikacji tożsamości wnioskodawcy oraz analizy systemów informatycznych i archiwów papierowych, w których te dane mogą się znajdować.
Przesłanki żądania usunięcia danych
Osoba, której dane dotyczą, może żądać usunięcia swoich danych osobowych w następujących przypadkach:
- Brak niezbędności danych: Dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane. Jest to klasyczny przypadek zakończenia umowy lub świadczenia usługi, gdy cel pierwotny wygasł.
- Cofnięcie zgody: Osoba, której dane dotyczą, cofnęła zgodę, na której opierało się przetwarzanie (zgodnie z art. 6 ust. 1 lit. a lub art. 9 ust. 2 lit. a RODO), i nie ma innej podstawy prawnej przetwarzania (np. prawnie uzasadnionego interesu).
- Sprzeciw wobec przetwarzania: Osoba wnosi sprzeciw na mocy art. 21 ust. 1 RODO wobec przetwarzania opartego na prawnie uzasadnionym interesie administratora, a po stronie administratora nie występują żadne nadrzędne prawnie uzasadnione podstawy przetwarzania, lub osoba wnosi sprzeciw wobec przetwarzania na potrzeby marketingu bezpośredniego (w tym ostatnim przypadku sprzeciw ma charakter bezwzględny).
- Bezprawne przetwarzanie: Dane osobowe były przetwarzane niezgodnie z prawem, np. bez wymaganej podstawy prawnej lub z naruszeniem zasad ogólnych RODO.
- Obowiązek prawny: Dane osobowe must zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii lub prawie państwa członkowskiego, któremu podlega administrator.
- Dane dziecka zebrane w usługach społeczeństwa informacyjnego: Dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego bezpośrednio dziecku na podstawie jego zgody (art. 8 ust. 1 RODO).
Wyłączenia, czyli kiedy administrator może odmówić usunięcia danych
Najczęstszym błędem popełnianym przez osoby składające wnioski na podstawie art. 17 RODO jest przekonanie, że żądanie usunięcia danych musi być bezwzględnie i natychmiastowo spełnione w każdym przypadku. RODO w art. 17 ust. 3 przewiduje szereg istotnych wyłączeń, które dają administratorowi pełne prawo do odmowy realizacji wniosku. Przetwarzanie jest nadal dopuszczalne i konieczne, m.in. w zakresie, w jakim jest niezbędne:
- Do korzystania z prawa do wolności wypowiedzi i informacji: Wyłączenie to ma kluczowe znaczenie dla działalności dziennikarskiej, publicystycznej oraz naukowej.
- Do wywiązania się z prawnego obowiązku: Jeśli przepisy prawa krajowego lub unijnego nakazują administratorowi przechowywanie określonych danych (np. przepisy ordynacji podatkowej nakazujące przechowywanie dokumentacji księgowej przez 5 lat, przepisy o rachunkowości, czy przepisy prawa pracy dotyczące akt osobowych pracowników).
- Z przyczyn związanych z interesem publicznym w dziedzinie zdrowia publicznego: Dotyczy to m.in. dokumentacji medycznej i przeciwdziałania poważnym transgranicznym zagrożeniom zdrowotnym.
- Do celów archiwalnych w interesie publicznym, celów badań naukowych lub historycznych: O ile usunięcie danych uniemożliwi lub poważnie utrudni realizację celów takiego przetwarzania.
- Do ustalenia, dochodzenia lub obrony roszczeń: To jedna z najczęściej stosowanych przesłanek w obrocie gospodarczym. Jeśli istnieje ryzyko, że były klient lub kontrahent wytoczy powództwo przeciwko administratorowi (lub odwrotnie), administrator ma prawo zachować niezbędne dane do czasu upływu terminów przedawnienia roszczeń wynikających z Kodeksu cywilnego.
Procedura obsługi wniosku o usunięcie danych krok po kroku
Aby zminimalizować ryzyko zarzutów ze strony organu nadzorczego, każdy administrator powinien wdrożyć jasną, wewnętrzną procedurę obsługi żądań wynikających z art. 17 RODO. Poniżej przedstawiamy rekomendowany algorytm postępowania:
- Krok 1: Rejestracja wniosku i weryfikacja tożsamości. Po otrzymaniu żądania należy niezwłocznie odnotować ten fakt w rejestrze wniosków. Kluczowe jest upewnienie się, że osoba składająca wniosek jest rzeczywiście tą, za którą się podaje. W przypadku uzasadnionych wątpliwości administrator może zażądać dodatkowych informacji niezbędnych do potwierdzenia tożsamości.
- Krok 2: Analiza merytoryczna żądania. Należy ustalić, jakie dane wnioskodawcy są przetwarzane, w jakich systemach oraz na jakich podstawach prawnych. Następnie należy ocenić, czy zachodzi którakolwiek z przesłanek z art. 17 ust. 1 RODO oraz czy nie zachodzi przesłanka wyłączająca z art. 17 ust. 3 RODO.
- Krok 3: Podjęcie decyzji. Jeśli wniosek jest zasadny, administrator musi usunąć dane ze wszystkich systemów, baz danych, kopii zapasowych (z uwzględnieniem specyfiki technicznej backupów) oraz nośników papierowych. Jeśli istnieją podstawy do odmowy (np. konieczność obrony przed roszczeniami), administrator podejmuje decyzję o odmowie realizacji wniosku w całości lub w części.
- Krok 4: Poinformowanie innych odbiorców. Jeżeli administrator upublicznił dane osobowe, a ma obowiązek je usunąć, musi podjąć rozsądne działania (w tym środki techniczne), by poinformować innych administratorów przetwarzających te dane, że osoba, której dane dotyczą, żąda usunięcia wszelkich łączy do tych danych, ich kopii lub replik. Ponadto o usunięciu danych należy powiadomić wszystkich odbiorców, którym te dane ujawniono, chyba że okaże się to niemożliwe lub będzie wymagać niewspółmiernie dużego wysiłku.
- Krok 5: Odpowiedź wnioskodawcy. Administrator ma obowiązek udzielić osobie, której dane dotyczą, informacji o działaniach podjętych w związku z jej wnioskiem. Odpowiedź musi być sformułowana jasnym, przystępnym językiem. W przypadku odmowy należy szczegółowo wskazać podstawę prawną i faktyczną oraz pouczyć o prawie wniesienia skargi do Prezesa UODO oraz do wniesienia środka ochrony prawnej przed sądem.
Terminy na realizację wniosku
Zgodnie z art. 12 ust. 3 RODO, administrator bez zbędnej zwłoki – a w każdym razie w terminie miesiąca od otrzymania żądania – udziela osobie, której dane dotyczą, informacji o działaniach podjętych w związku z realizacją jej prawa. Termin ten można w razie potrzeby przedłużyć o kolejne dwa miesiące z uwagi na skomplikowany charakter żądania lub liczbę wniosków.
W przypadku przedłużenia terminu administrator musi w terminie miesiąca od otrzymania żądania poinformować osobę, której dane dotyczą, o takim przedłużeniu, podając jednocześnie przyczyny opóźnienia. Niedotrzymanie tych terminów stanowi bezpośrednie naruszenie przepisów RODO i jest częstym powodem nakładania kar przez organ nadzorczy.
Kontrola organu nadzorczego (UODO) w zakresie art. 17 RODO
W polskim porządku prawnym organem nadzorczym monitorującym stosowanie RODO jest Prezes Urzędu Ochrony Danych Osobowych (PUODO). Skargi dotyczące odmowy realizacji prawa do bycia zapomnianym stanowią znaczny odsetek spraw wpływających do Urzędu. W przypadku wpłynięcia skargi, organ wszczyna postępowanie administracyjne, które może zakończyć się kontrolą u administratora lub wezwaniem do złożenia pisemnych wyjaśnień.
Podczas kontroli lub postępowania wyjaśniającego organ nadzorczy bada przede wszystkim:
- Czy administrator posiadał i stosował odpowiednie procedury wewnętrzne dotyczące obsługi wniosków z art. 17 RODO.
- Czy zachowano ustawowe terminy na udzielenie odpowiedzi wnioskodawcy.
- Czy administrator prawidłowo zidentyfikował podstawy prawne przetwarzania danych i czy słusznie powołał się na przesłanki wyłączające (np. czy wykazano realne ryzyko roszczeń, czy jedynie ogólnie powołano się na tę możliwość).
- Czy usunięcie danych nastąpiło we wszystkich systemach, w tym u podmiotów przetwarzających (procesorów), którym dane powierzono.
- Czy dopełniono obowiązku rozliczalności, czyli czy administrator jest w stanie wykazać (udowodnić), że prawidłowo rozpatrzył wniosek i podjął odpowiednie działania.
Najczęstsze błędy administratorów podczas kontroli
Analiza decyzji Prezesa UODO pozwala na zidentyfikowanie najczęstszych błędów popełnianych przez administratorów danych. Należą do nich:
- Brak odpowiedzi na wniosek: Całkowite zignorowanie żądania osoby fizycznej, często wynikające z chaosu organizacyjnego lub braku dedykowanej skrzynki kontaktowej (np. iod@firma.pl).
- Niewystarczające uzasadnienie odmowy: Wysyłanie lakonicznych, szablonowych odpowiedzi typu "nie możemy usunąć danych z uwagi na przepisy prawa", bez wskazania konkretnego przepisu ustawy i wyjaśnienia, dlaczego ma on zastosowanie w danej sytuacji.
- Przetwarzanie danych "na zapas": Przechowywanie pełnego spektrum danych klienta po zakończeniu umowy pod pretekstem obrony przed roszczeniami, podczas gdy do tego celu wystarczyłoby zachowanie jedynie imienia, nazwiska i historii transakcji, a nie np. danych marketingowych, zgód profilowych czy numeru telefonu.
- Brak współpracy z procesorami: Niepoinformowanie podmiotów przetwarzających (np. dostawców systemów CRM, hostingu, biur rachunkowych) o konieczności usunięcia danych z ich systemów.
Praktyczny przykład (Case Study)
Wyobraźmy sobie sytuację, w której klient sklepu internetowego składa wniosek o usunięcie wszystkich jego danych osobowych na podstawie art. 17 RODO. Klient ten dokonał zakupu towaru rok temu, a transakcja została sfinalizowana (towar dostarczono, fakturę opłacono). Klient nie składał żadnych reklamacji.
Jak powinien postąpić administrator sklepu?
Analiza danych: Administrator przetwarza dane klienta w celach: realizacji umowy (cel wygasł), podatkowo-księgowych (obowiązek prawny przechowywania faktur przez 5 lat podatkowych), marketingu bezpośredniego (na podstawie zgody lub prawnie uzasadnionego interesu) oraz ewentualnej obrony przed roszczeniami z tytułu rękojmi (termin rękojmi dla konsumenta wynosi co do zasady 2 lata).
Prawidłowe działanie administratora:
- Usunięcie danych marketingowych: Administrator musi niezwłocznie zaprzestać przetwarzania danych w celach marketingowych i usunąć je z bazy newsletterowej oraz systemów CRM służących do profilowania.
- Zachowanie danych w celach podatkowych: Administrator odmawia usunięcia danych zawartych na fakturze VAT (imię, nazwisko, adres, NIP), powołując się na art. 17 ust. 3 lit. b RODO w zw. z przepisami ustawy o rachunkowości i ordynacji podatkowej. Dane te muszą być przechowywane do upływu okresu przedawnienia zobowiązania podatkowego.
- Zachowanie danych do obrony przed roszczeniami: Administrator może zachować minimalny zakres danych niezbędny do obrony przed ewentualnymi roszczeniami z tytułu rękojmi lub nienależytego wykonania umowy (art. 17 ust. 3 lit. e RODO) do czasu upływu terminów przedawnienia tych roszczeń.
W odpowiedzi skierowanej do klienta w terminie miesiąca administrator musi precyzyjnie wyjaśnić, które dane zostały usunięte, a które (i na jakiej podstawie prawnej) będą nadal przechowywane oraz przez jaki okres.
Podsumowanie i rekomendacje dla praktyków
Prawidłowe zarządzanie procesem realizacji praw z art. 17 RODO to nie tylko kwestia zgodności z przepisami, ale również element budowania zaufania klientów i ochrony przed dotkliwymi karami finansowymi ze strony UODO. Kluczem do sukcesu jest wdrożenie zasady minimalizacji danych oraz retencji danych (data retention) już na etapie projektowania systemów i procesów biznesowych.
Każdy administrator powinien regularnie dokonywać przeglądu swoich zasobów informacyjnych, usuwać dane zbędne z urzędu (bez czekania na wniosek użytkownika) oraz szkolić personel z zakresu procedur obsługi wniosków. W przypadku sporu z osobą, której dane dotyczą, kluczowe jest precyzyjne, udokumentowane i oparte na przepisach prawa uzasadnienie swojego stanowiska. Taka postawa pozwoli na pomyślne przejście ewentualnej kontroli organu nadzorczego i wykaże, że organizacja traktuje ochronę danych osobowych w sposób priorytetowy.